?

Aug 19 2016

內幕!深入分析NSA入侵事件

首頁 » 業界見聞 » 內幕!深入分析NSA入侵事件   

http://p0.qhimg.com/t0106cea688e2a1e28d.png

一、事件概述


想必各位早就已經對前幾天發生的美國國家安全局入侵事件有所耳聞了,而此次事件也在互聯網上引發了一場關于美國情報機構網絡技術水平和安全保護能力的大范圍激烈討論。

 

美國時間上周六,一條爆炸性的新聞打破了那個安靜祥和的清晨。一個自稱“The Shadow Brokers”的神秘黑客組織聲稱,他們攻擊了一個與美國國家安全局(NSA)有著密切聯系的黑客組織,并且將NSA的部分黑客工具泄漏在了互聯網上。不僅如此,他們表示還會舉辦一場拍賣會(以比特幣的形式),并將此次事件中涉及到的所有“網絡武器”出售給競價最高的競拍者。

 

該組織表示,這些黑客工具來自于“Equation Group”(方程式組織)。“Equation Group”黑客組織是一個與美國國家安全局有著密切聯系的黑客組織,而且該組織中的黑客成員絕對是精英中的精英。

 

根據卡巴斯基安全實驗室在2015年所發表的一篇分析報告,安全研究專家將Equation Group黑客組織描述為目前世界上最為先進的黑客團伙之一。Equation Group還與此前臭名昭著的Regin攻擊和震網病毒(Stuxnet)攻擊有關,而且據說這些攻擊活動還得到了美國政府的資助。

 

據了解,“The Shadow Brokers”黑客組織將其前期公布的數據分成了兩大部分:其中一份包含有大量黑客工具,這些工具可以向各種服務器系統中注入惡意軟件;另一部分是一些經過加密的文件,他們也將這一份經過加密的文件稱為“史上最好的黑客工具”。根據該黑客組織發布的信息,當他們的賬戶收到了一百萬個比特幣時,他們就會公開這些文件。

http://p5.qhimg.com/t01eccd6c00e64d5e7a.png

看過相關報道的朋友可能會知道,該組織此前曾將泄漏數據發布在了GitHub等平臺上,但是GitHub已經將這些文件刪除了。很多人可能會認為,GitHub是在政府的施壓下不得不去刪除這些文件。其實不然,其主要原因是因為該黑客團伙要出售這些數據,而GitHub公司的政策規定:在GitHub代碼托管平臺上不允許進行任何形式的拍賣活動,而且也不允許出售被盜數據。

 

GitHub頁面快照:

https://webcache.googleusercontent.com/search?q=cache:Yu3Gourol1kJ:https://github.com/theshadowbrokers/EQGRP-AUCTION+&cd=1&hl=en&ct=clnk&gl=us

 

此次事件也引出了一些人們所關心的問題。“The Shadow Brokers”聲稱這些先進的黑客工具來自于“Equation Group”,但是我們可能會有疑問:

1.     Equation Group是否真的是美國國家安全局的一個黑客精英團隊?

2.     此次事件中泄漏的數據是否真實有效?

3.     如果這些數據是真實的,那么這些先進的黑客工具是否真的屬于“Equation Group”?

4.     此次攻擊事件背后的始作俑者到底是誰?真的是俄羅斯嗎?

 

二、泄漏的黑客工具屬于與NSA有關聯的黑客組織,即“Equation Group”


根據卡巴斯基安全實驗室于本周三發表的一篇技術分析報告,安全研究專家對泄漏工具的數字簽名進行了比對和分析,并且已經證實了這些黑客軟件和惡意軟件的確是“Equation Group”此前曾使用過的黑客工具。

 

卡巴斯基實驗室的研究人員在分析報告中說到:“雖然我們目前還無法推測出攻擊者的真實身份和具體動機,而且也無法得知他們是通過何種手段竊取到這些文件的。但是在我們對這些黑客工具進行了分析之后,現在可以確定的是,這些黑客工具與“Equation Group”有著千絲萬縷的關系。”

http://p4.qhimg.com/t01736a621e3a9687f6.png

“The Shadow Brokers”公布的文檔中包含有三百多份計算機文件,這些文件大多都采用了RC5和RC6加密算法來進行加密,而這兩種加密算法也是“Equation Group”最喜歡使用的。除此之外,這些文件所使用的加密代碼與“Equation Group”惡意軟件中所采用的RC5和RC6加密代碼是相同的。所以安全研究專家認為,如果想要偽造這些數據和算法設計模式,可能性幾乎為零。

 

安全研究專家對“Equation Group”惡意軟件中的RC6代碼和最新泄漏文件中的加密代碼進行了分析比對,具體內容如下圖所示。從下圖中可以看出,這兩部分代碼所實現的功能是相同的,而且代碼特征十分明顯,想要造假的話幾乎不太可能。

http://p7.qhimg.com/t0114c5e0ec372012a6.png

三、前NSA工作人員也認為這些泄漏數據的可信度非常高


現在,隨著越來越多的證據被挖掘出來,似乎覆蓋在此次事件上的疑云也應該逐漸散去了。某些前美國國家安全局的內部人士認為,此次泄漏的黑客工具是真實有效的,而且這些工具的確與NSA有關。

 

一位此前曾在美國國家安全局TAO(Tailored Access Operations)部門工作的員工在接受華盛頓郵報的采訪時表示:“毋庸置疑,這些黑客工具肯定與NSA有關。這些黑客工具不僅可以破壞其他國家政府的基礎設施,而且還可以用來對企業網絡實施攻擊。”

 

就此看來,從卡巴斯基實驗室發布的分析報告,再加上NSA前雇員的分析評論,這些泄漏出來的黑客工具其真實性也就不言而喻了。

 

四、到底是外部黑客入侵,還是內部人員所為?


除了上述的一些推測以外,有些人還認為此次事件是NSA的內部人員所為。

 

一位不愿意透露姓名的NSA前雇員表示:“在泄漏的文件中,包含有美國國家安全局TAO部門的工具,而這些工具均存儲在物理隔離的網絡系統中,這些網絡系統并沒有接入互聯網。所以這些工具沒有理由會出現在其他的服務器中,除非有人故意為之。從這些文件目錄結構以及文件的命名風格來看,這些文件是直接從服務器中拷貝過來的。”

 

五、安全專家和Snowden都認為此次攻擊事件是俄羅斯黑客所為


http://p1.qhimg.com/t0157d465292cfdd2c4.png

目前,絕大多數網絡安全專家和NSA泄密者Edward Snowden都認為此次攻擊事件背后的始作俑者是俄羅斯。

 

就在幾周之前,維基解密和一名代號為“Guccifer 2.0”的黑客公布了大量與民主黨全國委員會(DNC)數據泄漏事件有關的文件。美國的情報機構和多家安全公司都認為,此次針對民主黨的攻擊事件是俄羅斯所為,但是俄羅斯方面否認了這種“指控”。而Snowden和Dave Atiel(前NSA安全科學家)推測,此次由“The Shadow Brokers”發起的攻擊事件將會進一步惡化俄羅斯和美國之間的緊張關系。

 

就在Snowden發表了上面這段推文之后,安全專家Aitel也發表了一篇文章。他在文章中表示,俄羅斯是不僅是民主黨委員會數據泄漏事件中嫌疑最大的一方,而且也是NSA黑客工具泄漏事件中的首要懷疑對象。

 

六、分析與總結


除了各方的推測之外,維基解密卻站出來公開表示,他們已經獲取到了“The Shadow Brokers”用于拍賣的那部分機密文件,并且會在“時機合適”的時候將這些信息公布出來。

http://p1.qhimg.com/t0118b638f36760017c.png

然而,在此次事件中還有很多疑問沒有得到答案。“The Shadow Brokers”到底是誰?這個黑客組織是如何入侵“Equation Group”的?該組織真的打算以一百萬個比特幣的天價出售這些黑客工具嗎?還是說這一切只是該組織為了掩護接下來的黑客活動所扔出的煙霧彈?




本文由 安全客 翻譯,轉載請注明“轉自安全客”,并附上鏈接。
原文鏈接:http://thehackernews.com/2016/08/nsa-hack-russia-leak.html

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽:這篇文章木有標簽

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «ZABBIX高危漏洞,無需授權登陸即可完成控制(更新利用工具) | OpenSSL CVE-2016-2107 漏洞分析»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

已有2條評論

匿名

2016-08-21 03:01 沙發
好文章!在推特上看別人吵吵嚷嚷這么半天,不如花兩分鐘看此文

mOon

2016-08-26 00:15
@匿名:好像好有道理
?
?
河北11选5开奖